CVE-2026-11616

Nome do Software Vulnerável e Versões Afetadas The Events Calendar for GeoDirectory plugin for WordPress versões anteriores a 2.3.29

Descrição Atacantes autenticados com nível de acesso de Assinante (Subscriber) ou superior podem elevar seus privilégios para Administrador. Isso ocorre porque o manipulador ajax ayi action() não utiliza uma lista de permissões (allow-list) ao processar as variáveis type e postid do array $ POST, aplicando apenas strip tags(esc sql()) antes de passá-las para a função update ayi data(). Esta função, por sua vez, chama update user meta(), permitindo que um atacante escreva ['subscriber'=>true,'administrator'=>'administrator'] em seu próprio meta de usuário wp capabilities ao definir type como wp capabilities e postid como administrator. Consequentemente, o WP User::get role caps() reconhece a chave administrator como uma função ativa na requisição seguinte.

Recomendações Atualize o plugin para uma versão posterior a 2.3.28.